75. Цілі та обсяг програми аудиту
Цілі програми (або декількох програм) аудитів встановлює керівник групи з аудиту. Цілі визначаються виходячи з вимог СМІБ, загальної стратегії (політики) і політики в сфері ІБ організації, законодавчих вимог, вимог постачальників, вимог споживачів.
Зауваження 1. Цілями для програми внутрішніх аудитів, як правило, є: 1) «організація пошуку та виявлення невідповідностей СМІБ вимогам стандарту ISO 19011, ISO 27007, а також сприяння їх усуненню, виконання корегуючих та попереджувальних дій» або 2) «сприяння вдосконаленню СМІБ». Метою для програми аудитів постачальників, як правило, є «оцінити здатність постачальника забезпечувати необхідний рівень функціонування СМІБ».
Зауваження 2. Так, наприклад, в організації може бути три встановлені програми аудиту. Одна програма аудитів (внутрішніх) складається з метою «Сприяти вдосконаленню СМІБ», інша програма аудитів (постачальників) складається з метою «Мати постійну впевненість у надійності постачальників», а третя програма аудитів (знову внутрішніх) складається з метою «Підтримки відповідності СМІБ вимогам стандарту ISO 19011, ISO 27007» .
Для програми аудиту необхідно встановити цілі, виходячи з яких плануватимуть аудити і здійснюватимуть аудити СМІБ.
Цілі можуть базуватися на аналізі:
- пріоритетів управління;
- комерційних планів;
- вимог системи управління;
- законодавчих, регламентних та контрактних вимог;
- потреби щодо оцінювання постачальника;
- вимог замовників;
- потреб інших зацікавлених сторін;
- ризиків для організації.
Прикладами цілей програми аудиту є: підтвердження відповідності вимогам стандарту на систему менеджменту з метою сертифікації; перевірка відповідності вимогам контрактів; здобуття та підтримування довіри до можливостей постачальника; сприяння вдосконаленню системи менеджменту.
Обсяг програми аудиту може змінюватися залежно від розміру, характеру діяльності та складності організації, аудит СМІБ якої здійснюється, а також від:
- сфери, мети та тривалості кожного аудиту, який треба провести;
- частоти проведення аудитів;
- кількості, важливості, складності, схожості та місцезнаходження видів діяльності, які підлягають аудиту;
- стандартів, законодавчих, регламентних і контрактних вимог та інших критеріїв аудиту;
- потреби в акредитації або реєстрації/сертифікації;
- висновків попередніх аудитів або результатів аналізу попередньої програми аудиту;
- будь-яких мовних, культурних та соціальних аспектів;
- інтересів зацікавлених сторін;
- суттєвих змін в організації або в її діяльності.
Обсяг програми внутрішніх аудитів СМІБ встановлюється керівником згідно:
- кожен процес СМІБ повинен бути перевірений на відповідність вимогам внутрішніх документів не менше одного разу на рік.
- кожен підрозділ організації повинен бути вичерпно перевірено на відповідність усіх аспектів його (підрозділу) діяльності для всіх реалізованих у ньому елементів СМІБ не менше одного разу на два роки.
- при постійному виявленні невідповідностей в одному процесі (підрозділі), аудити цього процесу (підрозділу) повинні проводитися частіше.
- необхідно врахувати пропозиції аудиторів за термінами, обсягом та періодичністю аудитів.
- необхідно враховувати складність і важливість процесів, що підлягають аудиту.
- за наявності суттєвих змін в конфігурації СМІБ кількість аудитів повинна бути збільшена.
Зауваження. Наприклад, обсяг програми аудиту може бути визначений таким чином: «Перевірити всі встановлені процеси СМІБ 2 рази на рік (крім процесу управління нормативною документацією). Перевірити процес управління нормативною документацією не менше 4-х разів за рік у зв’язку з великою кількістю невідповідностей за попередній рік. Передбачити резерв часу у 2 тижні на кожні 3 місяці для забезпечення можливості оперативного додатку програми аудиту».
При визначенні обсягу програми аудитів постачальників, уповноважена ...